Windows Phone アプリを開発する方のみならず、とりあえず AD FS が動く環境を作りたい...と思った時に使ってください

1. Windows Phone 開発者のための AD FS 2.0 セットアップ手順 マイクロソフト株式会社 エバンジェリスト 安納 順一（あんのう じゅんいち） http://blogs.technet.com/junichia/ twitter @junichia 第 1.0 版 2011.11.29 Active Directory

3. １． AD FS のセットアップ

4. AD FS 2.0 のダウンロード Active Directory Federation Services 2.0 RTW - 日本語 ① AD FS 2.0 のインストール 2008 用 2008 R2 用

6. AD FS 2.0 のインストール (2) 前提条件は自動的に満たしてくれる 再起動

8. IIS で自己署名証明書を作成 サブジェクト（主体）がサーバーの FQDN であることを確認

9. 構成ウィザードの起動 こいつをクリック

10. AD FS の構成 (1)

11. AD FS の構成 (2) 事前に作成した自己署名証明書を選択（証明書が 1 つしか無ければ自動的に表示される） 事前に作成しておいたサービスアカウントを指定する （注意） サービスアカウントの入力が求められるのは「サーバーファーム」を選択した場合

12. AD FS の構成 (3)

13. AD FS の構成 (4) サービスアカウントに指定したユーザーが管理者権限を持っていない場合に発生する

14. SPN を手動で登録する C:gt;setspn -a host/adfssrv < ドメイン名 >lt; サービスアカウント名 > ( 例 ) setspn -a host/adfssrv tfdfssvc P5 で作成したサービスアカウントを使用して、コマンドプロンプトから以下を実行する ここは固定 以上！ 超簡単！

16. ２． AD FS に 証明書利用者信頼（ RP ）を登録する ここでは、 Windows Phone にセキュリティトークンが発行できるようにするためのダミー RP （ Relying Party ）を登録します

17. AD FS 2.0 管理コンソールの基礎 クレームのもととなる属性情報の格納庫を定義する。既定では、所属している Active Directory が定義されている。 「証明書利用者」とは「 RP （ Relying Party ）」のこと。既定では何も定義されていない。 「要求プロバイダー」とは「クレームプロバイダー（クレームの提供者）」のこと。既定では自身が所属している Active Directory ドメインが定義されている。 この AD FS 2.0 （ STS ）で扱うことができるクレームが定義されている。逆に言えばここに定義されていないクレームを使うことはできない。

18. RP の登録

19. 適当に

20. 何もせずに次へ

21. 適当なサイトを でっち上げて入力

22. 何もせずに次へ

26. 3 ．要求規則（クレームルール）について ここから先は大人になってから

27. 用語について 基本的に、日本語 UI に沿った用語を使用します。 が…ちょっと アレ なところもあるので、以下の対応票を参考にしてください。 日本語 対応する英語 要求 Claim, クレーム 規則 Rule, ルール 要求の種類 Claim Type, クレームタイプ 要求記述 Claim Description, クレームディスクリプション 要求 プロバイダー Claims Provider, クレーム プロバイダー 証明書利用者 Relying Party, リライング パーティ 発行承認規則 Issuance Authorization Rules 受付変換規則 Acceptance Transform Rules 発行変換規則 Issuance Transform Rules

29. （参考）既定のクレーム タイプ 英語表記 日本語表記 E-Mail Address 電子メール アドレス Given Name 指定名 Name 名前 UPN UPN Common Name 共通名 AD FS 1.x E-Mail Address AD FS 1.x 電子メール アドレス Group グループ AD FS 1.x UPN AD FS 1.x UPN Role 役割 Surname 姓 PPID PPID Name Identifier 名前 ID Authentication Method 認証方法

30. つづき 英語表記 日本語表記 Deny Only Group SID 拒否のみグループ SID Deny only primary SID 拒否のみプライマリ SID Deny only primary group SID 拒否のみプライマリ グループ SID Group SID グループ SID Primary Group SID プライマリ グループ SID Primary SID プライマリ SID Windows account name Windows カウント名 Authentication Instant 認証タイム スタンプ

33. AD FS 2.0 ～クレーム パイプライン 証明書利用者 (RP) ① 受付ける ③ 発行する OK/ NG switch 要求規則 (Claim Rule) ② 承認する クレームパイプラインと要求規則（クレームルール） 要求プロバイダー信頼 (Claims Provider Trusts) 証明書利用者信頼 (Relying Party Trust) 発行 変換 規則 input output 受け 付け 変換 規則 input output 発行 承認 規則 input output クレームストア トークン

38. （参考）既定の LDAP 属性 これ以外の ldap 属性を使用する場合には「カスタム規則」を使用 クレームパイプラインと要求規則（クレームルール） LDAP 属性の名前（ lDAPdisplayName) Company (company) Department (department) Display-Name (displayName) E-Mail-Address (mail) Employee-ID (employeeID) Employee-Number (employeeNumber) Employee-Type (employeeType) Given-Name (givenName) Is-Member-Of-DL (memberOf) Organizational-Unit-Name (ou) Organization-Name (o) Proxy-Addresses (proxyAddress) LDAP 属性の名前（ lDAPdisplayName) State-Or-Province-Name (st) Street-Address (street) Surname (sn) Telephone-Number (telephoneNumber) Title (title) Token-Groups (SID) (tokenGroups) Token-Groups - ドメイン名を含む (tokenGroups) Token-Groups - 完全修飾ドメイン名を含む (tokenGroups) Token-Groups - 名前の指定なし (tokenGroups) User-Principal-Name (userPrincipalName) SAM-Account-Name(sAMAccountName)

42. 要求記述に「部署」を追加 クレームタイプ を URI で設定する。 世界で唯一にするため、自社ドメイン名を入れるとよい。 要求規則（クレームルール）の定義 例

43. 「発行承認規則」で「エバンジェリスト」以外を抑止 「すべてのユーザーにアクセスを許可」を削除 要求規則（クレームルール）の定義 例

44. 「 LDAP 属性を要求として送信」を選択 Active Directory の属性「 title 」を 「役割」に放り込む 要求規則（クレームルール）の定義 例

45. さらに規則を追加する 「入力方向の要求に基づいてユーザーを許可または拒否」を選択 要求規則（クレームルール）の定義 例

46. クレーム「役割」が「エバンジェリスト」ならば… 条件に合致したユーザーのみを「許可」 要求規則（クレームルール）の定義 例

47. 要求規則 の処理プロセスについて 要求規則 1 要求規則 2 要求規則セット Input Claim Set Output Claim Set 条件 発行 要求規則 n 前のルールの結果が次のルールに引き継がれる 要求規則（クレームルール）の定義 例 クレーム トークン

48. 「発行変換規則」で 4 つのクレームを定義 要求規則（クレームルール）の定義 例 ldap 属性 クレームタイプ 氏名 displayname 名前 メール email 電子メール アドレス 部署 department 部署 役職 title 役割

49. LDAP 属性を要求して送信 複数の ldap 属性を一度に定義可能 要求規則（クレームルール）の定義 例

50. 完成形 要求規則（クレームルール）の定義 例

53. カスタムルールについて

54. カスタムルールのサンプルを見るには カスタムルールの定義

55. 条件部 発行部 カスタムルールの定義

56. カスタムルールの構造 入力方向のクレーム / 属性をチェックし、 すべての条件が True の場合に「発行部」が実行される。条件部が無い場合には無条件で True とみなされる。 True False 発行するトークンタイプと、 そこに格納する属性 / 値を指定する。 必須 オプション 「クレームが発行されない」 ≠ アクセスできない ※ クレームを持っていないユーザーにアクセスを許可するかどうかは アプリケーションの判断 カスタムルールの定義 => 条件部 条件文 1 条件文 2 && && 発行部 発行文 条件部 発行部

64. カスタムルールの定義例

66. 要求記述に「ログオン回数」を定義 クレームタイプ を URI で設定する。 カスタムルールの定義例

67. 要求記述に「ステータス」を定義 クレームタイプ を URI で設定する。 カスタムルールの定義例

68. カスタムルールに「ログオン回数」と「ステータス」を定義 カスタムルールの定義例

69. AD の logonCount 属性を「ログオン回数」にセット Active Directory から logonCount 属性を取り出し、クレームタイプ logoncount に入れている カスタムルールの定義例

70. logoncount をもとにステータスを判定するには c:[Type == “ http://schemas.tf.com/identity/claims/logoncount ”, Value =~ “^[0-9] {1} ] => add (Type = &quot; http://schemas.tf.com/identity/claims/userstatus &quot;, Value = &quot; SILVER &quot;); logonCount < 10 ならば ステータスは シルバー c:[Type == “ http://schemas.tf.com/identity/claims/logoncount ”, Value =~ “^[0-9] {2}”] => add (Type = &quot; http://schemas.tf.com/identity/claims/userstatus &quot;, Value = “GOLD&quot;); logonCount => 10 and logonCount < 100 ならば ステータスは ゴールド c:[Type == “ http://schemas.tf.com/identity/claims/logoncount ”, Value =~ “^[0-9] {3}”] => add (Type = &quot; http://schemas.tf.com/identity/claims/userstatus &quot;, Value = “ PLATINUM &quot;); logonCount => 10 and logonCount < 100 ならば ステータスは ゴールド => Issue (Type = &quot; http://schemas.tf.com/identity/claims/userstatus “ ) ; userstatus クレームを発行する カスタムルールの定義例

71. 完成形 ルールは上から実行される 6 userstatus クレームを発行する < 要求規則の表示 > カスタムルールの定義例